一天搞定Wazuh企业级安全监控:WorkBuddy部署实战指南
一个运维人的真实记录:用 AI 助手 WorkBuddy 在阿里云 ECS 上从零部署 Wazuh 安全监控系统,覆盖 24 台跨区域服务器的实战全过程。
前言:为什么要搞这个?
话说,服务器安全这事儿,一直让人头大。管着阿里云 ECS 公网服务器,多台内网 CentOS/RHEL 服务器,还有上海、海南那些异地节点,之前全靠手动巡日志、偶尔跑跑脚本,效率低不说,还容易遗漏。早就想上一套 HIDS(主机入侵检测)系统,但那些 OpenSource 方案的文档,劝退了好几次……
直到最近发现 WorkBuddy 这个 AI 工具——能直接操作我的电脑、跑命令、写代码。想着试试看能不能让它帮我搞定 Wazuh 部署,结果真的一天内跑通了整套系统。
把过程分享出来,希望能帮到同样想上手 Wazuh 但被复杂配置劝退的朋友。
一、环境准备
服务器资源
| 项目 | 配置 |
|---|---|
| 服务器 | 阿里云 ECS |
| IP | 47.97.46.5 |
| 配置 | 4 核 / 7.4G RAM / 89G 磁盘 |
| 操作系统 | CentOS / RHEL |
网络规划
┌─────────────────────────────────────────┐
│ 阿里云 ECS (Wazuh Server) │
│┌───────────┐┌──────────┐┌───────┐ │
││Wazuh Server││Wazuh ││Flask │ │
││(1514/1515) ││Indexer ││Portal │ │
│└─────┬─────┘│(9200) ││(:6566)│ │
│ │ └─────┬────┘└───┬───┘ │
│ │ │ │ │
│ │ Security Group│ │ │
│ │ (Port 6566) │ │ │
└────────┼──────────────┼──────────┼─────┘
│ │ │
┌────┴─────┐ ┌────┴────┐┌──┴──┐
│ Agent-1 │ │ Agent-2 ││... │
│ (Jumpbox)│ │ (海南) ││(共24│
│ │ │ (上海) ││ 台) │
└──────────┘ └─────────┘└─────┘核心组件:
- Wazuh Server:接收各 Agent 上报的安全事件
- Wazuh Indexer:存储和索引日志/告警数据
- Flask Web Portal:自建仪表盘门户(端口 6566)
- 24 台 Wazuh Agent:分布在 jumpbox、海南、上海等节点
二、部署过程(WorkBuddy 辅助完成)
第一步:安装 Wazuh Server
先把 Wazuh 服务端装上。这一步涉及 RPM 包导入、仓库配置、Yum 安装,命令链比较长——以前得反复查官方文档拼命令,这次直接让 WorkBuddy 生成完整的一键部署脚本,省了不少事:
bash
复制
# 导入 GPG Key 并添加 Wazuh 仓库
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
name=Wazuh repository
baseurl=https://packages.wazuh.com/4.x/yum/
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
EOF
# 安装 Wazuh Server
yum install -y wazuh-server wazuh-indexer第二步:配置 Wazuh Indexer
Wazuh Indexer 基于 OpenSearch,需要初始化证书和密码:
bash
复制
# 生成 Indexer 认证证书
/var/wazuh-indexer/bin/cert-tool.sh --auto-generate-certificates
# 设置 indexer 密码(重要!记下来)
/var/wazuh-indexer/bin/indexer-reset-password.sh⚠️ 踩坑提醒:Indexer 默认的超级用户密码是随机生成的,第一次启动后务必立即修改并妥善保存。这里折腾了一会儿才找到重置方法,记下来能省不少事。
第三步:配置 Flask Web Portal
官方的 Wazuh Dashboard 资源占用较大,考虑到这台 ECS 只有 7.4G 内存,选了更轻量的方案——用 Python Flask 自建一个简易门户:
python
复制
以 systemd 服务方式托管,开机自启:
bash
复制
第四步:注册 Agent 节点
这是最繁琐但也是最有价值的一步——给每台目标服务器装上 Agent:
bash
复制
最终注册了 24 台 Agent,覆盖范围:
| 节点类型 | 数量 | 说明 |
|---|---|---|
| Jumpbox | 1 | 运维跳板机 |
| 海南节点 | 若干 | 异地服务器 |
| 上海节点 | 若干 | 异地服务器 |
| 内网服务器 | 其余 | 192.168.20.x 网段 |
第五步:阿里云安全组配置
开放 Web Portal 对外访问端口:
入方向规则:
┌────────┬────────┬──────────────────┐
│ 协议 │ 端口 │ 授权对象 │
├────────┼────────┼──────────────────┤
│ TCP │ 6566 │ 0.0.0.0/0 │
│ TCP │ 1514 │ Agent IP 白名单 │
│ TCP │ 1515 │ Agent IP 白名单 │
└────────┴────────┴──────────────────┘同时配置了 QQ 邮箱 SMTP 告警通知,确保关键安全事件能第一时间推送。
三、遇到的问题 & 解决方案
问题 1:Dashboard 数据显示全零
现象:curl localhost:9200 能返回 36729 条告警 数据,但自建的 Flask 仪表盘上所有指标都显示为 0。
排查过程(WorkBuddy 帮忙定位):
- 先确认 Indexer 数据正常 → 通过
curl验证 ✅ - 检查 Flask 后端查询 API → 发现 Indexer 认证方式和 SSL 校验有问题
- 修正了请求头中的认证信息和
verify=False参数
结论:不是数据问题,是门户拉取数据的代码逻辑有 bug。修复后数据正常展示。
问题 2:内存紧张
现象:4 核 7.4G 的机器跑 Wazuh Server + Indexer + Flask 门户,内存吃紧。
优化方案(计划中):
- 移除不必要的后台服务
- 给 Wazuh Indexer 做 JVM 内存限制
- 将 AI 助手功能替换为轻量的 服务器性能监控面板(CPU/内存/磁盘/网络),一石二鸟
问题 3:部分内网服务器无法连接外网
现象:内网 CentOS 服务器 curl 外网地址会卡死。
影响:这类服务器安装 Wazuh Agent 时无法直接从官方 Yum 源下载包。
解决方案:先下载 RPM 包再通过内网传输安装,或配置 HTTP 袋里。
四、最终效果
部署完成后实现了:
✅ 24 台服务器 统一安全监控,全覆盖
✅ 实时告警 检测:文件完整性校验、SSH 登录异常、日志异常检测
✅ Web 仪表盘(端口 6566)随时随地查看安全状态
✅ 邮件告警推送,QQ 邮箱 SMTP 即时通知
✅ systemd 托管,所有服务开机自启、崩溃自动重启
┌────────────────────────────────────────────────┐
│ Wazuh 安全监控大屏 │
├─────────────┬──────────────┬───────────────────┤
│ ???? Agent │ ???? 告警统计 │ ???? 最新告警 │
│ 在线: 22/24 │ 总计: 36729 │ [SSH暴力破解尝试] │
│ 离线: 2 │ 严重: 128 │ 来源: 45.33.x.x │
│ │ 警告: 2341 │ 时间: 2026-05-29 │
│ │ 信息: 34260 │ │
├─────────────┴──────────────┴───────────────────┤
│ ???? 资源监控(开发中) │
│ CPU ████░░░░内存 ███████░磁盘 ███░░░░░░░ │
└────────────────────────────────────────────────┘五、使用 WorkBuddy 的感受
说实话,这次体验刷新了对 AI 工具的认知:
| 对比项 | 以前(自己搞) | 这次(WorkBuddy) |
|---|---|---|
| 查文档拼命令 | 反复 Google 2-3 小时 | 直接问,30 秒出脚本 |
| 排错调试 | 自己一行行看日志 | 把日志贴给它,它分析原因 |
| 写配置文件 | 手动改,容易漏格式 | 它生成完整的 yaml/json |
| 多步骤操作 | 靠笔记怕忘步骤 | 它帮你记住上下文,连贯执行 |
| 总耗时 | 3-5 天断断续续 | 1 天基本跑通 |
最爽的是它能 直接在你的电脑上跑命令、读写文件——不像 ChatGPT 只能给你文字建议,你还得自己复制粘贴去执行。这感觉就像雇了一个懂技术的远程同事,还不用交社保。
六、下一步计划
当前系统还在持续迭代中:
- 完善性能监控模块— 在 Portal 里加入 CPU/内存/磁盘/网络的实时图表(10 分钟刷新)
- 质检服务器部署— 实现录音文件 6 个月存储 + 内外网实时同步
- 远程服务器监控扩展— 当前 18 台待接入,目标 SSH 自动采集 + 统一大屏
- 内存优化— 7.4G 机器的资源精细化调优
总结
Wazuh 功能强大但上手门槛确实不低——官方文档全是英文,组件之间依赖关系复杂,配置选项巨多。对于一个人扛所有活的运维来说,有一个能理解上下文、能直接操作的 AI 助手真的可以大幅降低入门成本。
如果你也在犹豫要不要搞一套安全监控系统,建议是:先用 AI 工具帮你把框架搭起来,然后再根据自己的需求慢慢调优。别让"太复杂了"成为拖延的理由。
